L’essentiel des données personnelles transitant sur Internet, notamment celles appartenant aux citoyens européens, est sous le contrôle des Etats-Unis et notamment des GAFA (Google Amazon Facebook Apple). fuites de données sont révélées, chaque année, suite à des problèmes techniques ou à un manque de contrôle. [i]Début octobre, The Wall Street Journal révélait une faille dans le logiciel du réseau social Google +, qui a eu pour conséquence l’exposition des données personnelles de millions d’utilisateurs de 2015 à 2018. [ii]Début octobre également, le DPC (commissaire à la protection des données de l’Irlande) publiait un communiqué sur Twitter concernant une faille, notifiée par Facebook lui-même, qui aurait affecté les comptes de 5 millions d’européens, utilisateurs du réseau social, selon Vera Jourovà, commissaire européenne en charge de la justice. [iii]Cette faille n’est pas sans rappeler l’affaire Cambridge survenue en mars dernier. Cette dernière concernait 87 millions d’utilisateurs (dont 2,7 millions d’européens) dont les données avaient été aspirées sans autorisation par un sous-traitant : Cambridge Analytica.
Suite à ces nombreux scandales concernant l’utilisation de données personnelles de citoyens européens, sans autorisation, par des entreprises anglosaxonnes, l’Union européenne tente de rattraper son retard en matière de gouvernance de l’internet. Cette démarche se matérialise par une politique de contrôle plus strict des pratiques des GAFA sur l’internet et de l’utilisation de nos données personnelles. Un texte de loi a donc été rédigé pour encadrer cette politique. Il s’agit du RGPD (réglementation générale sur la protection des données) entré en vigueur le 25 mai 2018.
La stratégie de l'Union européenne
Stratégie juridique
La mise en place du RGPD représente un bouleversement dans le monde juridique de l’internet. En effet, ce règlement représente le premier texte européen et le premier pas d’une stratégie commune à tous les pays de l’Union européenne. [iv]Ce règlement reprend certains principes déjà présents dans la loi Informatique et Libertés, française, de 1978 et les accentue. Le consentement, notamment, de l’utilisateur pour l’utilisation de ses données à des fins publicitaires, était déjà une obligation imposée par la loi. Le RGPD précise et intensifie cette loi en y ajoutant la notion de consentement « clair et explicit ». D’autres principes tels que le droit d’accès et le droit à l’oubli permettent à l’utilisateur une meilleure gestion de ses données.
Stratégie financière
Les sanctions prévues par le RGPD sont témoins d’une stratégie financière assumée. [v]En effet auparavant, certaines amendes avaient déjà été infligées, notamment à Facebook par la CNIL en mai 2017 mais le montant de 150 000 euros n’avait pas incité Facebook à se mettre en conformité. Depuis le 25 mai 2018, et l’entrée en vigueur du RGPD, les entreprises non conformes risquent une amende de 10 à 20 millions d’euros ou 4% de leur chiffre d’affaire mondial de l’année précédente.
Sensibilisation des utilisateurs
Le principe clef et novateur du RGPD concerne la responsabilisation de chaque individu de la société. En effet, l’obligation générale de faciliter l’exercice des droits ainsi que le pouvoir de chacun de solliciter un contrôle de l’autorité compétente, par exemple de la CNIL (Commission Nationale Informatique et Libertés) pour la France, renforce l’intérêt et l’implication de chaque citoyen. De fait, l’impact pour les GAFA est bien plus important s’ils ne respectent pas la législation avec un risque de plaintes, dupliqué. En impliquant les citoyens, l’Union européenne se sert du grand nombre pour servir la cause : la lutte contre la fuite de données. La politique de transparence de l’Union européenne à propos des fuites de données sert une stratégie d’influence. En effet les entreprises sont, depuis le RGPD, contraintes de révéler les attaques qu’elles ont subies et d’informer les personnes dont les données ont été exposées.
Les conséquences directes
Les premières plaintes contre des grands groupes ont été enregistrées dès l’entrée en vigueur du RGPD. [vi] En effet La Quadrature du Net, l’association française de défense des internautes a déposé 5 plaintes contre les GAFAM (Google Amazone Facebook Apple Microsoft).
La stratégie des GAFA
Lobbying
[vii]Google, Amazon, Facebook et Apple ont eu recours à des lobbys afin de retarder l’entrée en vigueur du RGPD. Rien qu'en Europe, les GAFA ont vu augmenter leurs dépenses en lobbying de 700% ces cinq dernières années d’après un expert de l'ONG Corporate Europe Observatory (CEO). [viii]Malgré cette impressionnante poussée, les GAFA n'ont déclaré que 5,5 millions d'euros de dépenses de lobbying auprès de la Commission européenne. Pourtant une étude réalisée par Alexandre Lechenet, un journaliste indépendant montre que le budget des GAFA en lobbying, rien qu’en 2016 en Europe, s’élevait déjà à 6, 4 millions et que ce chiffre est en perpétuel augmentation, notamment chez Amazon qui a plus de doublé son investissement en lobbying en un an et chez Facebook qui a dû également recourir aux lobbys suite aux nombreux scandales le concernant. [ix]Le montant, assez faible de 5,5 millions, dépensé en 2017 s’explique car « contrairement aux Etats-Unis, la déclaration des sommes engagées est facultative en Europe ».
[x]D’après Transparency International, le lobby Google est le deuxième lobby le plus reçu à la Commission européenne. Ainsi, le 24 avril 2018, soit un mois avant l’entrée en vigueur du RGPD, le lobby Google rencontrait la commissaire à la protection des données personnelles Vera Jourovà.
Accès aux médias
[xi]Les Gafa détournent la loi à leur avantage. Google, suite à l’application des principes du RGPD, a supprimé l’accès à certains médias français. Le groupe estimait que ces médias ne respectaient pas rigoureusement le principe de consentement clair et explicite, mentionné dans le RGPD. Pendant plusieurs jours les sites tels que lemonde.fr, lefigaro.fr n’ont plus perçu de revenus publicitaires, les annonceurs ne pouvant plus acheter d’espace de publicité numérique. Cette coupure a entrainé « une coupure massive des achats » selon les associations d’annonceurs et régies publicitaires qui reprochent à Google de ne pas les avoir prévenues et de ne pas avoir rendu inaccessibles les médias dont la régie publicitaire utilise les outils de Google exclusivement.
[xii]Certains médias américains tels que LA Times, Chicago Tribune ne sont plus accessibles depuis les pays européens depuis le 25 mai. Ces médias se disent en recherche de solutions. D’autres affichent une stratégie différente comme le Washington Post, qui appartient au fondateur d’Amazon : Jeff Bezos. Sa version gratuite en ligne est inaccessible et l’utilisateur européen est automatiquement dirigé vers la version payante ou doit valider le consentement publicitaire.
L’avantage offert par le RGPD : limitation de la concurrence
Mise à part ces quelques observations, la stratégie adoptée par ces grands groupes face à la détermination de l’union européenne a été de se conformer et de ne pas s’opposer au RGPD. Mark Zuckerberg disait justement devant le Congrès Américain être « favorable à plus de régulation quant à la collecte et à l’exploitation des données personnelles ». Le RGPD est en réalité un avantage pour les GAFA. En effet, la mise en conformité des entreprises à ce règlement est difficile et couteuse. Cela représente un investissement bien plus lourd pour les TPE et PME que pour des grands groupes disposant de tous les moyens financiers et juridiques nécessaires. [xiii]Actuellement les GAFA sont bien plus avancés voir totalement en conformité avec le RGPD. Des annonceurs se tourneront donc en priorité vers ces grands groupes conformes et non vers des concurrents de taille inférieure dont le processus de mise en conformité est encore en cours.
Le résultat du bras de fer
Malgré la ténacité et la volonté de l’Union européenne de protéger les données des citoyens européens ainsi que la mise en conformité des GAFA, le RGPD présente de nombreuses imprécisions pouvant être exploitées par les grands groupes pour collecter et utiliser nos données. En effet, dans le but de maintenir le flux des GAFA dans les pays de l’Union européenne, celle-ci a laissé des zones d’ombres qui permettent aux GAFA d’exister et de perpétuer leurs pratiques. De plus, le gouvernement américain riposte par la mise en place de nouvelles lois qui pourraient affaiblir le RGPD. [xiv]Le CLOUD ACT, à l’initiative de Donald Trump, pourrait rendre obligatoire la diffusion de données personnelles de citoyens européens dans certains cas et à des fins judiciaires.
Julia Plouchart
[i] MacMillan, Douglas and McMillan, Robert. Google Exposed User Data, Feared Repercussions of Disclosing to Public. The Wall street journal [en ligne], 8 octobre 2018. Disponible sur https://www.wsj.com/articles/google-exposed-user-data-feared-repercussions-of-disclosing-to-public-1539017194
[ii] Facebook Data Breach – Commencement of Investigation. Data protection commission [en ligne], 3 octobre 2018.Disponible sur : https://www.dataprotection.ie/docs/EN/03-10-2018-Facebook-Data-Breach Commencement-of-Investigation/m/1787.htm
Data Protection Comission Ireland (DPCIreland) « Investigation commenced into Facebook data breach », 3 octobre 2018, 10h38. Tweet https://twitter.com/DPCIreland/status/1047541532440584194
Data Protection Comission Ireland (DPCIreland) « UPDATE Facebook data breach », 1 octobre 2018, 12h45. Tweet https://twitter.com/DPCIreland/status/1046848583817994240
Jérôme. L’Irlande ouvre une enquête sur le piratage de 50 millions de comptes Facebook dans le monde entier. Mediacritik [en ligne], 7 octobre 2018. Disponible sur https://www.mediacritik.com/lirlande-ouvre-une-enquete-piratage-de-50-millions-de-comptes-facebook-monde-entier/
[iii] Affaire Cambridge Analytica / Facebook. CNIL [en ligne]. CNIL, 12 avril 2018. Disponible sur https://www.cnil.fr/fr/affaire-cambridge-analytica-facebook
[iv] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE). Disponible sur https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
[v] Facebook sanctionné pour de nombreux manquements à la loi Informatique et Liberté. CNIL [en ligne]. CNIL, 16 mai 2017. Disponible sur https://www.cnil.fr/fr/facebook-sanctionne-pour-de-nombreux-manquements-la-loi-informatique-et-libertes
[vi] L, Bastien. RGPD : cinq plaintes collectives déposées en France contre les GAFAM. Lebigdata [en ligne], 29 mai 2018. Disponible sur https://www.lebigdata.fr/rgpd-plaintes-france-gafam
[vii] OP. Lobbying : l’artillerie lourde des géants du net en France et en Europe. Observatoire des multinationales sociale, économique, politique [en ligne], 19 janvier 2017. Disponible sur http://multinationales.org/Lobbying-l-artillerie-lourde-des-geants-du-net-en-France-et-en-Europe
[viii] Braun, Julien et alphoenix. L'influence tentaculaire des géants américains. Ghitub.com [en ligne], 19 janvier 2017. Disponible sur : https://github.com/alphoenix/donnees/blob/master/lobbies-gafamut/readme.md
Boittiaux, Pascaline. Lobbying : Les GAFA toujours plus puissants. Statista [en ligne], 23 avril 2018. Disponible sur : https://fr.statista.com/infographie/10396/lobbying-_-les-gafa-toujours-plus-puissants/
[ix] Boota, Emmanuel. Pour le lobbying, les GAFA sortent les dollars. L’express [en ligne], 25 avril 2018. Disponible sur https://lexpansion.lexpress.fr/actualite-economique/pour-le-lobbying-les-gafa-sortent-les-dollars_2002572.html
[x] Commission meetings. Transparency International EU [en ligne], https://www.integritywatch.eu/ec.html
Meetings of Commissioner Věra Jourová with organisations and self-employed individuals, European commission [en ligne], Disponible sur : http://ec.europa.eu/transparencyinitiative/meetings/meeting.do?host=cc463fab-bfff-4595-bb45-6d0af96b5e83
Registre de transparence. Le portail de l’union européenne, Europe.eu [en ligne]. Disponible sur : http://ec.europa.eu/transparencyregister/public/consultation/displaylobbyist.do?id=03181945560-59
[xi] UDA – UDECAM – SRI – GESTE - IAB France. La lettre ouverte à Google. SRI Les régies internet [en ligne], 8 juin 2018.Disponible sur http://www.sri-france.org/2018/06/08/lettre-ouverte-a-google/
[xii] Cadot Julien, RGPD de grands médias américains bloquent leurs accès à l’Europe. Numerama [en ligne], 25 mai 2018. Disponible sur https://www.numerama.com/tech/378163-rgpd-face-aux-nouvelles-lois-de-grands-medias-americains-bloquent-leur-acces-a-leurope.html
[xiii] Crenn, Jean-Paul. Le RGPD rendrA Facebook et Google encore plus puissants. Les echos.fr [en ligne], 17 juin 2018. Disponible sur https://www.lesechos.fr/idees-debats/cercle/cercle-182809-le-rgpd-rendra-facebook-et-google-encore-plus-puissants-2176673.php
[xiv] Gavetti, Jules-Henry. Le Cloud Act, une nouvelle loi qui renforce l’ingérence des autorités américaines sur les opérateurs de Cloud des US. Les Echos.fr [en ligne], 6 avril 2018. Disponible sur https://www.lesechos.fr/idees-debats/cercle/cercle-181295-le-cloud-act-une-nouvelle-loi-qui-renforce-lingerence-des-autorites-americaines-sur-les-operateurs-de-cloud-des-us-2167111.php
Chambon, Jean-Louis et Salziger, Guy. Le Cloud Act, la riposte américaine au RGPD européen. Les Echos.fr [en ligne], 19 septembre 2018. Disponible sur https://www.lesechos.fr/idees-debats/cercle/0302276181095-le-cloud-act-la-riposte-americaine-au-rgpd-europeen-2206463.php